Gratuit Bot de Trading PersonnaliséGratuit Bot de Trading DCAGratuit Bot de Trading GridBot WebhookGratuit Bot de Copy TradingGratuit Bot Smart MoneyGratuit Bot de Trading CRTGratuit Bot de Trading AITerminal de TradingCoach IANotificationsBacktest
HyperliquidHyperliquidGRVTGRVTAsterDEXAsterDEXExtendedExtendedDecibelDecibelStandXStandXPhoenixPhoenix
ModèlesClassement
Centre d'aideBlog
Thème
Langue
ConnexionInscription
securityapi keysafetytrading botbest practices

Sécurité des clés Crypto Bot API : un guide de sécurité complet

Sécurité des clés Crypto Bot API : un guide de sécurité complet
Par fomoed Team11 avril 20266 min de lecture

Lorsque vous connectez un robot de trading à votre plateforme d'échange, vous donnez l'accès à votre compte via une clé API. Fait correctement, c’est sûr et courant. Fait avec négligence, c'est une invitation au désastre. Ce guide couvre tout ce que vous devez savoir sur la sécurité des clés API pour les robots de trading crypto.

Ce que les clés API peuvent et ne peuvent pas faire

Une clé API est une paire de chaînes — une clé publique (identifiant) et une clé secrète (mot de passe) — qui permet au logiciel d'interagir avec votre compte Exchange par programme. Lorsque vous créez une clé API, vous choisissez les autorisations dont elle dispose.

La plupart des échanges proposent trois niveaux d'autorisation :

  • Lecture seule : Peut afficher les soldes, les positions et l'historique des échanges
  • Commerce: Peut passer et annuler des commandes, modifier des positions
  • Retrait: Peut envoyer des fonds hors de la bourse vers des adresses externes

Pour les robots de trading, vous avez besoin d'autorisations de lecture et de trading. Toi jamais besoin d'autorisations de retrait. Il s’agit du principe de sécurité le plus important.

La règle d'or : ne jamais autoriser les retraits

Si votre clé API ne peut pas retirer de fonds, le pire des cas d'une clé compromise serait celui des transactions non autorisées, qui pourraient vous faire perdre de l'argent, mais ne pourraient pas vider votre compte vers un portefeuille externe. Dès que vous activez les autorisations de retrait, une clé divulguée devient un outil de vol pur et simple.

Aucun robot de trading légitime ne demandera jamais d'autorisations de retrait. Si tel est le cas, il est soit mal conçu, soit malveillant. Éloignez-vous.

IP Whitelisting : Votre meilleure défense

IP whitelisting restreint votre clé API pour qu'elle fonctionne uniquement à partir d'adresses IP spécifiques. Même si quelqu'un vole votre clé et votre secret, il ne peut pas les utiliser à moins de se connecter à partir de votre adresse IP approuvée.

Comment le configurer :

  1. Recherchez l'adresse IP du serveur de votre plateforme de bot (fomoed l'affiche dans les paramètres de connexion Exchange)
  2. Dans la gestion API de votre échange, ajoutez cette IP à la liste blanche
  3. Activez l'option « Restreindre uniquement aux adresses IP sur liste blanche »
  4. Testez que votre bot se connecte toujours avec succès

Pour les échanges centralisés tels que Binance, Bybit et OKX, IP whitelisting est la mesure de sécurité la plus solide disponible. Sur Binance en particulier, les clés API sans restriction IP ont des capacités réduites par mesure de sécurité.

Portée des autorisations : accès minimum nécessaire

Appliquer le principe du moindre privilège :

  • Bot de trading au comptant : Activer le trading au comptant uniquement, pas les contrats à terme
  • Bot à terme : Activer le trading à terme uniquement, pas au comptant
  • Surveillance en lecture seule : Si vous souhaitez simplement suivre le portefeuille, utilisez des clés en lecture seule

Certaines bourses vous permettent de restreindre les paires de trading auxquelles une clé API peut accéder. Si c'est le cas et que vous négociez uniquement BTC/USDT, limitez la clé à cette paire.

Stocker les clés en toute sécurité

Votre secret API est affiché une fois lors de sa création. Après cela, l’échange ne l’affiche plus jamais. Voici comment procéder :

  • Jamais stocker les clés dans des fichiers texte brut, des captures d'écran ou des e-mails
  • Jamais collez les clés dans les discussions, les serveurs Discord ou les tickets d'assistance
  • Jamais valider les clés dans les référentiels git (même privés)
  • Utilisez un gestionnaire de mots de passe (Bitwarden, 1Password) pour les sauvegardes personnelles
  • Si vous devez les stocker localement, utilisez un coffre-fort chiffré

Lorsque vous saisissez des clés sur une plateforme de robot, vérifiez que vous êtes sur le site légitime (vérifiez l'URL, vérifiez le certificat) et que la connexion est HTTPS.

Que faire si une clé est compromise

Si vous pensez que votre clé API a été divulguée ou compromise :

  1. Immédiatement connectez-vous à votre échange et supprimez la clé API
  2. Vérifiez votre historique commercial récent pour détecter toute activité non autorisée
  3. Vérifiez votre historique de retrait (même si les retraits n'étaient pas activés, vérifiez)
  4. Créez une nouvelle clé API avec de nouvelles informations d'identification
  5. Enquêter sur la manière dont la fuite s'est produite : un malware ? Phishing ? Écran partagé ?
  6. Activez 2FA sur votre compte Exchange s'il n'est pas déjà actif

La suppression de la clé est instantanée et irréversible pour l’attaquant. N'hésitez pas : supprimez d'abord, enquêtez ensuite.

Comment fomoed gère vos clés

La transparence sur les pratiques de sécurité est importante. Voici comment fomoed protège vos informations d'identification API :

  • Stockage crypté : Les clés sont chiffrées au repos à l’aide du chiffrement AES-256. Ils ne sont jamais stockés en texte brut.
  • Pas d'accès de retrait : La plateforme ne demandera ni n'acceptera jamais de clés avec les autorisations de retrait activées.
  • Côté serveur uniquement : Vos clés API ne sont utilisées que côté serveur pour l'exécution des transactions. Ils ne sont jamais envoyés au frontend ni exposés dans le trafic du navigateur.
  • Rétention minimale : Si vous déconnectez un échange, vos clés sont supprimées de nos systèmes.

Pour notre Intégration Hyperliquid, nous utilisons une approche entièrement différente : l'authentification basée sur le portefeuille avec des portefeuilles d'agent dotés d'autorisations limitées, ce qui élimine complètement les clés API.

DEX Authentification basée sur le portefeuille : l'alternative

Les échanges décentralisés comme Hyperliquid n'utilisent pas les clés API. Au lieu de cela, vous connectez votre portefeuille et approuvez un portefeuille d'agent – ​​une sous-clé avec des autorisations de trading uniquement qui ne peuvent pas transférer de fonds hors de la bourse.

Cela présente des avantages en matière de sécurité :

  • Aucun secret à divulguer (l'approbation de l'agent est en chaîne)
  • Les autorisations sont appliquées par des contrats intelligents, et non par des politiques d'échange
  • Vous pouvez révoquer l'accès des agents en chaîne à tout moment
  • Aucun IP whitelisting nécessaire (les autorisations sont appliquées cryptographiquement)

Le compromis est que la sécurité du portefeuille devient critique : si la clé privée de votre portefeuille est compromise, l'attaquant a le contrôle total. Utilisez des portefeuilles matériels pour des fonds importants.

Liste de contrôle de sécurité pour les traders de robots

Avant de connecter un bot à un échange, vérifiez ces éléments :

  • Autorisations de retrait désactivées sur la clé API
  • Liste blanche IP configurée (pour CEX)
  • 2FA activé sur le compte Exchange
  • Les autorisations de clé API correspondent aux besoins du bot (ni plus, ni moins)
  • La plateforme Bot utilise HTTPS et le stockage de clés cryptées
  • Vous disposez d'une sauvegarde de la clé dans un gestionnaire de mots de passe
  • Vous savez comment supprimer rapidement la clé si nécessaire

Commencez à trader en toute sécurité

La sécurité ne doit pas être compliquée. Désactivez les retraits, activez IP whitelisting et utilisez une plate-forme qui gère les clés de manière responsable. Pour une procédure pas à pas plus approfondie pour démarrer en toute sécurité, consultez notre guide du débutant sur le trading automatisé. Avec fomoed, vous pouvez créez votre compte gratuitement et connectez votre échange en sachant que vos clés sont traitées avec des pratiques de cryptage et de sécurité appropriées.